關於Admin-Panel_Finder
Admin-Panel_Finder是一款功能強大的BurpSuite插件,該插件可以幫助廣大研究人員快速枚舉目標應用程序中的管理員接口和基礎設施信息(OTG-CONFIG-005)。
OWASP相關
分類:Web應用程序安全測試> 02-配置和部署管理測試
OTG v4:OWASP OTG-CONFIG-005
WSTG:WSTG-CONF-05
工具特性
多線程支持
支持不同等級不同配置的安全測試
可包含的狀態代碼
可排除的狀態代碼
1000多個內置的Payload
可以加載自定義字典
可編輯的root目錄
自動檢測用於生成自定義Payload所使用的技術
被動偵聽以查找登錄頁面
源碼構建
首先,在構建Admin-Panel_Finder項目代碼之前,我們需要在本地設備上安裝並配置好Gradle。
接下來,廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地:
下載完成後,切換到項目的根目錄下(根目錄包含build.gradle文件),然後運行下列命令:
運行完成後,將會在「build/libs/Admin-Panel_Finder.jar」路徑下生成最終的Jar文件。
工具安裝
最簡單的安裝方法就是打開BurpSuite的「Extender」標籤,然後選擇並加載上一步剛剛生成的Jar文件:
Extender -> Extensions -> Add
此時,我們就可以在BurpSuite新生成的標籤頁中使用Admin-Panel_Finder了。
快速使用
1、在BurpSuite的任意標籤頁中,選擇一個目標主機的請求包(必須帶有包含了任意狀態碼的響應信息);
2、在「Admin Panel Finder -> options」標籤頁中,應用我們的配置信息;
3、選擇「Admin Panel Finder -> Finder -> Finder」標籤頁,並點擊「Start」按鈕;
工具選項
Admin-Panel_Finder提供了下面這些選項來幫助我們執行自定義檢測:
Level:執行測試的等級(1-5,默認為3);
Thread:線程數量(1-50,默認為10);
Built-in dictionary:工具提供了一個內置的字典,其中包含了大多數常見目錄名和文件名,可以用於靜態Payload生成;
Loadable dictionary:我們可以選擇目錄文件來生成靜態Payload;
HTTP method:設置請求中使用的HTTP方法(Head或GET),默認為Head;
Extension:應用程序頁面所使用的擴展名,比如說php、asp、aspx、jsp等;
Root Dir:目標Web應用程序的根目錄,默認為「/」;
可包含的狀態代碼
可排除的狀態代碼
許可證協議
本項目的開發與發布遵循GPL-3.0開源許可證協議。
項目地址
https://github.com/moeinfatehi/Admin-Panel_Finder
參考資料
https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/05-Enumerate_Infrastructure_and_Application_Admin_Interfaces
https://gradle.org/install/
https://twitter.com/MoeinFatehi
精彩推薦
留言列表